Мониторинг сетевого трафика в локальной сети

Содержание

Обзор CommView — утилиты для анализа сетевого трафика

Мониторинг сетевого трафика в локальной сети

Необходимость анализа сетевого трафика может возникнуть по нескольким причинам. Контроль безопасности компьютера, отладка работы локальной сети, контроль исходящего трафика для оптимизации работы разделяемого подключения к Интернету — все эти задачи часто стоят на повестке дня системных администраторов, и простых пользователей.

Для их решения существует множество утилит, называемых снифферами, как специализированных, направленных на решение узкой области задач, так и многофункциональных «комбайнов», предоставляющих пользователю широкий выбор инструментов. С одним из представителей последней группы, а именно утилитой CommView производства компании Tamosoft, и знакомит эта статья.

Программа позволяет наглядно видеть полную картину трафика, проходящего через компьютер или сегмент локальной сети; настраиваемая система сигнализации позволяет предупреждать о наличии в трафике подозрительных пакетов, появлении в сети узлов с нештатными адресами или повышении сетевой нагрузки.

Главное окно программы

CommView предоставляет возможность вести статистику по всем IP-соединениям, декодировать IP-пакеты до низкого уровня и анализировать их. Встроенная система фильтров по нескольким параметрам позволяет настроить слежение исключительно за необходимыми пакетами, что позволяет сделать их анализ более эффективным.

Программа может распознавать пакеты более чем семи десятков самых распространенных протоколов (в том числе DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP и др.), а также сохранять их в файлы для последующего анализа.

Множество других инструментов, таких как определение изготовителя сетевого адаптера по MAC-адресу, реконструкция HTML и удаленный перехват пакетов с помощью дополнительной утилиты CommView Remote Agent также могут быть полезны в определенных случаях.

Работа с программой

Для начала нужно выбрать сетевой интерфейс, на котором будет отслеживаться трафик.

Строка выбора сетевого адаптера и кнопки запуска и остановки захвата пакетов

CommView поддерживает практически любой тип адаптеров Ethernet — 10, 100 и 1000 Мбит/с, а также аналоговые модемы, xDSL, Wi-Fi и др. Анализируя трафик адаптера Ethernet, CommView может перехватывать не только входящие и исходящие, но и транзитные пакеты, адресованные любому из компьютеров локального сегмента сети. Стоит отметить, что если стоит задача мониторинга всего трафика сегмента локальной сети, то требуется, чтобы компьютеры в ней были подключены через хаб, а не через свитч.

Некоторые современные модели свитчей имеют функцию port mirroring, что позволяет их также сконфигурировать для мониторинга сети с помощью CommView. Подробнее об этом можно прочитать в статье на web-сайте Tamosoft. Выбрав нужное соединение, можно приступать к захвату пакетов. Кнопки запуска и остановки захвата находятся около строки выбора интерфейса. Для работы с контроллером удаленного доступа, VPN и PPPoE при инсталляции программы необходимо установить соответствующий драйвер.

Главное окно программы разделено на несколько вкладок, отвечающих за тот или иной участок работы. Первая из них, «Текущие IP-соединения», отображает подробную информацию о действующих IP-соединениях компьютера.

Здесь можно увидеть локальный и удаленный IP-адрес, количество переданных и принятых пакетов, направление передачи, число установленных IP-сессий, порты, имя хоста (если в настройках программы не отключена функция распознавания DNS), и имя процесса, принимающего или передающего пакета данной сессии.

Последняя информация недоступна для транзитных пакетов, а также на компьютерах, работающих под управлением Windows 9x/ME.

Вкладка «Текущие IP-соединения»

Если по какому-либо соединению щелкнуть правой кнопкой мыши, то откроется контекстное меню, в котором можно найти инструменты, облегчающие анализ соединений. Здесь можно посмотреть объем данных, переданных в рамках соединения, полный список используемых портов, подробную информацию о процессе, принимающем или передающем пакеты данной сессии. CommView позволяет создавать псевдонимы для MAC- и IP-адресов. Например, задав вместо громоздких цифровых адресов машин локальной сети их псевдонимы, можно получить легко читаемые и запоминаемые имена компьютеров и таким образом облегчить анализ соединений.

Окно задания псевдонимов

https://www.youtube.com/watch?v=D-U2GiEfatk

Чтобы создать псевдоним для IP-адреса, нужно выбрать в контекстном меню последовательно пункты «Создать псевдоним» и «используя локальный IP» или «используя удаленный IP». В появившемся окне поле IP-адреса будет уже заполнено, и останется только ввести подходящее имя. Если новая запись IP-имени создается щелчком правой кнопки мыши по пакету, поле имени автоматически заполняется именем хоста (если оно доступно) и его можно редактировать. Точно так же происходит работа с MAC-псевдонимами.

Из этого же меню, выбрав пункт SmartWhois, можно отправить выбранный IP-адрес источника или получателя в программу SmartWhois — автономное приложение компании Tamosoft, которое собирает информацию о любом IP-адресе или имени хоста, например, сетевое имя, домен, страну, штат или провинцию, город, и предоставляет ее пользователю.

Вторая вкладка, «Пакеты», отображает все перехваченные на выбранном сетевом интерфейсе пакеты и подробную информацию о них.

Вкладка «Пакеты»

Окно разделено на три области. В первой из них отображается список всех перехваченных пакетов. Если в нем выбрать один из пакетов, щелкнув по нему указателем мыши, то остальные окна покажут информацию о нем. Здесь отображается номер пакета, протокол, Mac- и IP-адреса передающего и принимающего хоста, используемые порты и время появления пакета.

В средней области отображается содержимое пакета — в шестнадцатиричном или текстовом виде. В последнем случае непечатаемые символы заменяются точками. Если в верхней области выбрано одновременно несколько пакетов, то в среднем окне будет показано общее количество выбранных пакетов, их суммарный размер, а также временной интервал между первым и последним пакетом.

В нижнем окне отображается декодированная детальная информация о выбранном пакете.

Нажав на одну из трех кнопок в правой нижней части окна, можно выбрать расположение окна декодирования: в нижней части, или выровнять по левому или правому краю. Две другие кнопки позволяют автоматически переходить к последнему принятому пакету и сохранить выбранный пакет в видимой области списка.

Контекстное меню позволяет скопировать в буфер обмена MAC-, IP-адреса и целые пакеты, присваивать псевдонимы, применять быстрый фильтр для выбора требуемых пакетов, а также воспользоваться инструментами «Реконструкция TCP-сессии» и «Генератор пакетов».

Инструмент «Реконструкция TCP-сессии» позволяет просмотреть процесс обмена между двумя хостами по TCP. Для того чтобы содержимое сессии выглядело более понятно, нужно выбрать соответствующую «логику отображения». Эта функция наиболее полезна для восстановления текстовой информации, например, HTML или ASCII.

Реконструкция TCP-сессии с логикой ASCII

Та же сессия при просмотре с логикой HTML

Полученные данные можно экспортировать в виде текстового, RTF- или двоичного файла.

Вкладка «Log-файлы». Здесь можно настроить параметры сохранения перехваченных пакетов в файл. CommView сохраняет log-файлы в собственном формате NCF; для их просмотра используется встроенная утилита, запустить которую можно из меню «Файл».

Программа позволяет сохранить все пакеты, находящиеся на данный момент в буфере, или только часть из них, в заданном диапазоне

Имеется возможность включения автосохранения перехваченных пакетов по мере их поступления, ведения протоколов сессий HTTP в форматах TXT и HTML, сохранения, удаления, объединения и разделения log-файлов. Следует помнить, что пакет не сохраняется сразу по его прибытии, поэтому при просмотре log-файла в реальном времени в нем, скорее всего, не будет самых последних пакетов. Для того чтобы программа немедленно переслала буфер в файл, нужно нажать кнопку «Закончить захват».

Во вкладке «Правила» можно задать условия перехвата или игнорирования пакетов.

Вкладка Правила

Для облегчения выбора и анализа требуемых пакетов, можно использовать правила фильтрации. Это также поможет значительно сократить количество системных ресурсов, используемых CommView.

Для того чтобы включить какое-нибудь правило, нужно выбрать соответствующий раздел с левой стороны окна. Всего доступно семь типов правил: простые — «Протоколы и направление», «Mac-адреса», «IP-адреса», «Порты», «Текст», «TCP-флаги», «Процесс», а также универсальное правило «Формулы». Для каждого из простых правил предусмотрена возможность выбора индивидуальных параметров, таких как выбор направления или протокола. Универсальное правило «Формула» является мощным и гибким механизмом создания фильтров с помощью булевой логики. Подробный справочник по его синтаксису можно найти на web-сайте компании.

Вкладка «Предупреждения» поможет настроить параметры извещений о различных событиях, происходящих в исследуемом сегменте сети.

Вкладка «Предупреждения» позволяет создавать, изменять, удалять правила предупреждений, а также просматривать текущие события, соответствующие этим правилам

Для того чтобы задать правило предупреждения, нужно, нажав кнопку «Добавить…», в открывшемся окне выбрать необходимые условия, при появлении которых сработает извещение, а также способ уведомления пользователя об этом.

Настройка правил слежения и уведомлений

CommView позволяет задать следующие типы отслеживаемых событий:

  • «Обнаружение пакета», соответствующего указанной формуле. Синтаксис формул подробно описан в руководстве пользователя;
  • «Байты в секунду». Это предупреждение сработает при превышении указанного уровня загрузки сети;
  • «Пакеты в секунду». Срабатывает при превышении заданного уровня частоты передачи пакетов;
  • «Бродкасты в секунду». То же, только для широковещательных пакетов;
  • «Мультикасты в секунду» — то же для многоадресных пакетов.
  • «Неизвестный MAC-адрес». Это предупреждение можно использовать для обнаружения подключений нового или несанкционированного оборудования в сеть, задав предварительно список известных адресов с помощью опции «Настройка»;
  • предупреждение «Неизвестный IP-адрес» сработает при перехвате пакетов с неизвестными IP-адресами отправителя либо получателя. Если предварительно задать список известных адресов, то это предупреждение можно использовать для обнаружения несанкционированных подключений через корпоративный брандмауэр.
Читайте также  Как выключить компьютер удаленно по сети?

CommView обладает мощным средством визуализации статистики исследуемого трафика. Для того чтобы открыть окно статистики, нужно выбрать одноименный пункт из меню «Вид».

Окно статистики в режиме «Общее»

В этом окне можно ознакомиться со статистикой трафика сети: здесь можно увидеть количество пакетов в секунду, байтов в секунду, распределение протоколов Ethernet, IP и подпротоколов. Диаграммы можно скопировать в буфер обмена, что поможет в случае необходимости составления отчетов.

Отображение распределения трафика по IP-подпротоколам

Доступность, стоимость, системные требования

Текущая версия программы — CommView 5.1. С web-сайта Tamosoft можно загрузить бесплатную демонстрационную версию программы, которая будет функционировать в течение 30 дней.

Разработчик предлагает покупателям два варианта лицензий:

  • Home License (домашняя лицензия), стоимостью 2000 рублей, дает право пользоваться программой дома на некоммерческой основе, при этом количество хостов, доступных для наблюдения в вашей домашней сети, ограничивается пятью. В рамках данного типа лицензии не позволяется работать удаленно с помощью Remote Agent.
  • Enterprise License (корпоративная, стоимость — 10000 рублей) предоставляет право на коммерческое и некоммерческое использование программы одним лицом, которое лично пользуется программой на одной или на нескольких машинах. Программа также может быть установлена на одной рабочей станции и использоваться несколькими людьми, но не одновременно.

Приложение работает в операционных системах Windows 98/Me/NT/2000/XP/2003. Для работы необходим сетевой адаптер Ethernet, Wireless Ethernet, Token Ring с поддержкой стандарта NDIS 3.0 или стандартный контроллер удаленного доступа.

Купить программу можно в нашем он-лайн магазине программного обеспечения.

Плюсы:

  • локализованный интерфейс;
  • прекрасная справочная система;
  • поддержка разных типов сетевых адаптеров;
  • развитые средства анализа пакетов и определения протоколов;
  • визуализация статистики;
  • функциональная система предупреждений.

Минусы:

  • слишком высокая стоимость;
  • отсутствие пресетов для правил перехвата и предупреждений;
  • не очень удобный механизм выбора пакета во вкладке «Пакеты».

Заключение

Благодаря отличной функциональности и удобному интерфейсу CommView может стать незаменимым инструментом администраторов локальных сетей, Интернет-провайдеров и домашних пользователей. Порадовал тщательный подход разработчика к русской локализации пакета: и интерфейс, и справочное руководство выполнены на очень высоком уровне. Несколько омрачает картину высокая стоимость программы, однако тридцатидневная пробная версия поможет потенциальному покупателю определиться с целесообразностью покупки этой утилиты.

Источник: https://www.ixbt.com/soft/commview.shtml

Мониторинг трафикас помощью PRTG

Мониторинг сетевого трафика в локальной сети

Скачать бесплатно

Полная версия PRTG на 30 дней. После 30 дней – бесплатная версия.
Для расширенной версии – коммерческая лицензия.

Получение общих сведений

Как ответственный администратор, вы надеетесь получить сведения о том, сколько трафика проходит через вашу сеть. PRTG позволяет оптимизировать планирование емкости сети. Можно также определить, используется ли фактически вся квота данных, нужно ли покупать больше, или же можно удовлетвориться меньшим объемом.

Анализ сети

Надежность интернет-соединения вашей компании постоянно падает? В сети возникают ошибки, но вы не знаете почему? С помощью PRTG вы получаете инструмент контроля сетевого трафика, который анализирует потребление данных и раскрывает причины нарушений в работе сети. Вы также находите узкие места и слабые точки в системе безопасности.

Оптимизация сети

В каждой сети есть пожиратель полосы пропускания. Это может быть отдельное приложение, видеопоток или перегруженная сеть WLAN. Но это также может быть простое задание печати, содержащее несколько больших файлов, которые временно забивают сеть. PRTG Network Analyzer позволяет идентифицировать «пожирателей» пропускной способности и оптимизировать потребление данных.

Четыре монитора трафика: сравнение

Анализ пакетов позволяет рассматривать трафик данных по IP-адресам, протоколам и типам данных. Однако этот метод создает гораздо более высокую нагрузку на ЦП и сеть. Подробнее о сенсоре анализатора пакетов. 

Потоковые технологии (NetFlow, IPFIX, jFlow, sFlow) лучше всего подходят для маршрутизаторов Cisco, Juniper и HP, но могут использоваться также и для продукции других производителей. Потоковые технологии приспособлены прежде всего для больших сетей. Прочитайте все о наших сенсорах Flow.

Технология Windows Management Instrumentation (WMI) позволяет отслеживать работу Windows Server. По сравнению с другими мониторами технологии WMI требуется больше всего сетевых ресурсов. SNMP — это хорошая альтернатива, если вы хотите сохранить сетевое пространство. Узнайте больше о наших сенсорах WMI и счетчиках производительности.

Скачать бесплатно

Полная версия PRTG на 30 дней. После 30 дней – бесплатная версия.
Для расширенной версии – коммерческая лицензия.

Анализ сетевого трафика с помощью PRTG. Краткий обзор

Мгновенные оповещения

Один инструмент для всех задач

Подходящая технология

PRTG — это ваш инструмент для контроля сетевого трафика

PRTG отслеживает работу каждого компонента вашей сети. Трафик, время безотказной работы, серверы, маршрутизаторы, коммутаторы. PRTG — это инструмент мониторинга «все в одном» для всей сети. Когда возникнут проблемы, вам придет на помощь полный обзор , который будет доступен мгновенно. С помощью PRTG поиск источников ошибок выполняется быстро и просто. И это означает, что вы бережете время и нервы.

PRTG Network Traffic Tool собирает все данные и отображает их в виде удобных для чтения диаграмм и графиков. Результаты также отправляются в систему отчетности, которую вы можете настроить с учетом ваших конкретных потребностей. С PRTG доступ к данным можно настраивать. Узнайте больше о функции отчетов.

Настройте в PRTG отправку вам оповещений при возникновении определенных ситуаций. PRTG заранее сообщит вам когда сенсор обнаруживает проблему, но сетевое устройство еще не вышло из строя. Это значит, что вы можете отреагировать немедленно до того, как ошибка приведет к чему-то более серьезному. 

PRTG использует для анализа трафика следующие ключевые технологии: SNMP, анализ пакетов, Flow, WMI и счетчики производительности. Работаете вы с Windows Server или с маршрутизатором Cisco, при использовании PRTG у вас всегда будет подходящая технология для мониторинга прямо под рукой.

PRTG позволяет перехватывать сетевой трафик в течение длительного периода времени и анализировать накопленные данные. Вы увидите, наблюдаются ли пиковые нагрузки через регулярные промежутки времени в течение более длительных периодов времени. Если это так, вы сможете быстро добраться до корня проблемы.  

«Фантастическое решение для мониторинга сети и инфраструктуры, которое легко развернуть и еще проще использовать. Просто лучшее из доступных».

Больше обзоров

«Программное обеспечение абсолютно идеальное, поддержка выше всяких похвал. Отвечает всем потребностям и требованиям. Это обязательное решение, если вам нужен какой-либо вид мониторинга».

Больше обзоров

«Этот инструмент выделяется своей основной целью – быть единой службой управления инфраструктурой и мониторинга сети».

Больше обзоров

Программа PRTG устанавливается за несколько минут и совместима с большинством мобильных устройств.

PRTG контролирует для вас работу этих и многих других производителей и приложений

Скачать бесплатно

Полная версия PRTG на 30 дней. После 30 дней – бесплатная версия.
Для расширенной версии – коммерческая лицензия.

Сравнение мониторинга трафика:WMI, SNMP, анализ пакетов (packet sniffing), NetFlow

WMI SNMP Анализатор пакетов xFlow (IPFIX, NetFlow, sFlow, jFlow)
Сложность настройки Средняя Простая От простой до сложной (в зависимости от используемых правил фильтрации) Может оказаться сложной (например, может потребоваться настройка коммутатора)
Возможность фильтрации трафика
Различение использования пропускной способности по протоколам и IP-адресам
PRTG может показать рейтинги (рейтинг активности, подключений, протоколов, пользовательский рейтинг)
Фильтрация использования пропускной способности по IP-адресам
Фильтрация использования пропускной способности по MAC-адресам
Фильтрация использования пропускной способности по физическим сетевым портам
Мониторинг других сетевых параметров, кроме использования пропускной способности
Загрузка процессора на машине с PRTG Средняя Низкая Выше, в зависимости от объема трафика Выше, в зависимости от объема трафика
Перегрузка пропускной способности при мониторинге Небольшая Небольшая Нет (кроме случаев, когда для мониторинга используются порты коммутатора) В зависимости от трафика

Сетевой трафик

Огромные объемы данных передаются через каждую сеть, принадлежащую компании или организации. Электронные письма, видеофайлы, посетители сайта… Объем сетевого трафика все время растет в каждом секторе и отрасли. Если вы администратор, то вы постоянно ищете способы оптимизации работы своей сети.

Инструменты для мониторинга трафика

Администраторы часто ищут подходящие инструменты для наблюдения, измерения и анализа трафика в своих сетях. Некоторые из доступных инструментов имеют бесплатные версии, которые позволяют детально изучать данные о сети в реальном времени. Например, Wireshark перехватывает живой, нефильтрованный сетевой трафик. Но если вы не знаете, что искать, выполнение анализа может быть чрезвычайно затруднительным. К счастью, PRTG обеспечивает четкую, долгосрочную запись данных, что позволяет вам выйти на правильный путь.

Альтернативы

Перед администраторами стоит вопрос, использовать несколько небольших инструментов или установить одно централизованное средство, с помощью которого они смогут анализировать весь трафик в своей сети. В базовой версии (100 сенсоров) программа PRTG предоставляется бесплатно. Этой версии, как правило, достаточно для мониторинга небольших сетей.

Практический пример

www.humebank.com.au

Брэд Меннен, системный администратор Hume Bank в Австралии. Hume Bank использует PRTG для мониторинга локальных сетей, WAN, серверов, веб-сайта, приложений и многого другого.

Пример использования

Скачать бесплатно

Полная версия PRTG на 30 дней. После 30 дней – бесплатная версия.
Для расширенной версии – коммерческая лицензия.

Для администраторов использование PRTG означает..

Не будет ошибкой сказать, что с PRTG ваша сеть будет работать стабильнее. А это ведет к сокращению количества запросов в службу поддержки. Посмотрим правде в глаза: работа службы поддержки может быть довольно неприятной задачей, особенно когда проблемы и жалобы насущны и сложны. Уберегите себя от этой неприятности с помощью PRTG.

Наш сетевой монитор и система тревоги позволяют спокойно заниматься важными и приятными задачами в повседневной работе. Потратьте время, например, на то, чтобы неспешно установить новое оборудование.

PRTG позволяет вам отслеживать сетевой трафик на постоянной основе. Запись истории данных позволяет сформировать долгосрочную базу данных, используя которую можно постоянно оптимизировать свою сеть.

PRTG упрощает процесс оценки нового оборудования и приложений. Каждый день вы будете узнавать о своей сети что-нибудь новое.

Читайте также  Подключение принтера к компьютеру через сетевой кабель

“PRTG toplists give you a constant overview of the amount of bandwidth that is currently being used by IP addresses, devices, ports, services, and protocols. If these values change, you can take action at once.“

Gerald Schoch, technical editor at Paessler AG

Мониторинг по SNMP. PRTG поставляется с несколькими сенсорами SNMP, готовыми к работе. Перейдите на страницу мониторинга по SNMP, чтобы узнать, как работает протокол SNMP, как настроить мониторинг по SNMP и где могут возникнуть препятствия.

Анализ пакетов. Сенсор анализа пакетов PRTG отслеживает веб-трафик, почтовый трафик, трафик передачи файлов и многое другое. Ознакомьтесь с нашим разделом, посвященным анализу пакетов, и узнайте, как настроить сенсор анализа пакетов и получить представление о преимуществах и недостатках, которые связаны с этой технологией.

Мониторинг по протоколу NetFlow. Протокол NetFlow поддерживается главным образом маршрутизаторами и коммутаторами Cisco. На нашей странице NetFlow вы узнаете все, что вам нужно знать о различных технологиях Flow и о том, как настроить сенсоры для них.

Более 95 % наших клиентов рекомендуют PRTG

Компания Paessler AG провела обширный опрос свыше 600 ИТ-отделов по всему миру, в которых используется PRTG.
Целью этого опроса была оптимизация и тонкая настройка нашего программного обеспечения для мониторинга работы сети которая позволила бы лучше удовлетворить потребности администраторов.

По результатам нашего опроса более 95 % участников были готовы порекомендовать PRTG или уже сделали это.

PRTG: Революционнoe программное обеспечение для мониторинга сети

Используя API, вы можете приспосабливать PRTG индивидуально и динамически для ваших конкретных потребностей:

  • HTTP API: доступ к данным мониторинга сети и управления объектами с помощью HTTP-запросов
  • Индивидуальные сенсоры: вы можете добавить собственные сенсоры для индивидуального мониторинга сети
  • Индивидуальные уведомления: вы можете добавить собственные уведомления для отправки предупреждений во внешние системы
  • Новый сенсор REST API: Мониторит практически все, что поддерживает XML и JSON

Источник: https://www.ru.paessler.com/network_traffic_analyzer

Мониторинг трафика в локальной сети

Мониторинг сетевого трафика в локальной сети

Необходимость анализа сетевого трафика может возникнуть по нескольким причинам. Контроль безопасности компьютера, отладка работы локальной сети, контроль исходящего трафика для оптимизации работы разделяемого подключения к Интернету — все эти задачи часто стоят на повестке дня системных администраторов, и простых пользователей.

Для их решения существует множество утилит, называемых снифферами, как специализированных, направленных на решение узкой области задач, так и многофункциональных «комбайнов», предоставляющих пользователю широкий выбор инструментов. С одним из представителей последней группы, а именно утилитой CommView производства компании Tamosoft, и знакомит эта статья.

Программа позволяет наглядно видеть полную картину трафика, проходящего через компьютер или сегмент локальной сети; настраиваемая система сигнализации позволяет предупреждать о наличии в трафике подозрительных пакетов, появлении в сети узлов с нештатными адресами или повышении сетевой нагрузки.

Главное окно программы

CommView предоставляет возможность вести статистику по всем IP-соединениям, декодировать IP-пакеты до низкого уровня и анализировать их. Встроенная система фильтров по нескольким параметрам позволяет настроить слежение исключительно за необходимыми пакетами, что позволяет сделать их анализ более эффективным.

Программа может распознавать пакеты более чем семи десятков самых распространенных протоколов (в том числе DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP и др.), а также сохранять их в файлы для последующего анализа.

Множество других инструментов, таких как определение изготовителя сетевого адаптера по MAC-адресу, реконструкция HTML и удаленный перехват пакетов с помощью дополнительной утилиты CommView Remote Agent также могут быть полезны в определенных случаях.

Анализ и мониторинг корпоративной сети

Мониторинг сетевого трафика в локальной сети

Проблемы в работе сети могут значительно ухудшать качество обслуживания пользователей, снижая степень их удовлетворенности сетевыми сервисами и порождая недовольство теми, кто предоставляет эти сервисы. Поэтому крайне важно максимально быстро обнаруживать, диагностировать и устранять проблемы.

Различные системы сетевого мониторинга и диагностические средства ускоряют обнаружение и анализ проблем и тем самым способствуют сокращению периода времени между появлением проблемы и ее устранением.

Более того, собирая и анализируя информацию о работе сети, средства мониторинга позволяют выявлять возможные проблемы и не допускать их возникновения.

Для обеспечения качества сетевых услуг ИТ-специалисты все больше внимания уделяют контролю работы приложений и сервисов вместо мониторинга состояния отдельных инфраструктурных сетевых устройств. Чтобы оценивать качество работы сервисов, необходимо захватывать их трафик в разных точках сети (например, до и после балансировщика нагрузки, сервера базы данных и др.) и анализировать его. Анализ трафика осуществляется также для оптимизации работы сети, выявления хакерской активности и в других целях.

Предприятия заинтересованы в полном контроле работы своих сетей. При этом собирается и анализируется информация об объемах передаваемого трафика, порождающих наибольший трафик узлах, задержках в работе сети и приложений, потреблении полосы пропускания сети различными приложениями и клиентами и др. Эти сведения помогают выявлять те узлы, которые более всего нагружают сеть и устранять проблемы в работе приложений.

Также с помощью средств мониторинга контролируются транзакций в приложениях и действия пользователей на предмет выявления возможных нарушений ими должностных инструкций (например, пользователи могут передавать во вне конфиденциальные данные и посещать запрещенные корпоративной политикой веб-сайты).

Еще ИТ-специалисты заинтересованы в мониторинге качества сеансов VoIP и передачи видео и в получении оповещений, когда параметры функционирования сети окажутся хуже предельно допустимых значении.

Средства анализа, мониторинга и диагностики сети могут быть программными или аппаратными. В последнем случае речь идет о пробниках на базе серверных или компьютерных платформ со сменяемыми специальными платами захвата трафика и предустановленным ПО анализа захваченного трафика. Для записи больших объемов захватываемого трафика пробники на базе серверных платформ оснащают быстродействующими дисковыми подсистемами типа RAID достаточно большой емкости.

Программные средства анализа трафика могут быть бесплатными (например, Wireshark или nTop) или коммерческими. Последние характеризуются более широким диапазоном функциональных возможностей, а также покупатели коммерческих средств могут рассчитывать на поддержку со стороны их производителей и поставщиков. Для контроля крупномасштабных сетей используются централизованно управляемые системы мониторинга с распределенными по сети пробниками.

Одним из лучших коммерческих приложений для анализа, мониторинга и диагностики корпоративных IP-сетей любого масштаба является ПО Omnipeek компании Savvius.

Программный анализатор Omnipeek

Программное обеспечение Omnipeek (выпускаемое в вариантах Professional, Enterprise и Connect) предназначено для полного анализа работы корпоративных сетей.

Функционируя как ПО для портативного сетевого анализатора или как консоль для программных пробников Capture Engine for Omnipeek, приложение Omnipeek предлагает интуитивно понятный и простой в использовании графический интерфейс, который помогает инженерам быстро анализировать и диагностировать корпоративные сети. Данное приложение обеспечивает централизованный экспертный анализ для всех управляемых подсетей.

Проводя экспертный анализ, Omnipeek диагностирует проблемы в диалогах между парами сетевых узлов и тем самым позволяет быстро определять, в работе каких элементов сети возникли неполадки. Сетевые инженеры могут получать оповещения при возникновении конкретных экспертных событий, или когда нарушаются сконфигурированные правила сетевой политики.

Приложение Omnipeek обеспечивает глубокий анализ и диагностику как сети, так и мультимедийного трафика, что позволяет отказаться от использования нескольких разных средств сетевого анализа. Пользователи этого ПО могут просматривать информацию о качестве передачи голоса и/или видео для любого транслируемого медиапотока. В Omnipeek также имеются возможности воспроизведения ых вызовов и анализа сигнализации для передачи голоса и видео. В случае плохой работы сети этот продукт поможет инженерам выявить причины проблемы.

Мониторинг VoIP-вызовов

Программное обеспечение Omnipeek дает возможность контролировать время отклика приложений, круговую (round-trip) задержку передачи пакетов, быстроту реагирования серверов, скорость выполнения транзакций с базами данных и множество других низкоуровневых параметров. Для каждого контролируемого приложения это ПО выдает оценку Application Performance Index (Apdex Score), которая характеризует степень удовлетворенности пользователей работой данного приложения. Увидев плохую оценку Apdex Score, для определения ее причин инженер может проанализировать конкретный сетевой трафик, который использовался для вычисления этой оценки.

С помощью Omnipeek сетевые инженеры могут захватывать и сохранять сетевой трафик, а затем осуществлять его ретроспективный анализ с целью расследования сетевых инцидентов, диагностики проблем в работе сети, контроля соблюдения должностных инструкций и правил системной политики, анализа функционирования приложений и выполнения деловых транзакций. Интуитивно понятная интерактивная информационная панель позволяет легко задавать критерии поиска нужных данных.

Вышеперечисленными возможностями богатый функционал Omnipeek отнюдь не исчерпывается. Среди других важных функций данного пакета можно отметить анализ сетей MPLS и VLAN.

Наряду с ПО Omnipeek, компания Savvius выпускает интеллектуальные программные пробники Capture Engine for Omnipeek, которые реализуют ту же самую (что и в Omnipeek) передовую технологию анализа сетей.

Эти продукты анализируют работу сети в реальном масштабе времени, захватывая ее трафик с помощью одного или более сетевых интерфейсов, и сохраняют метрики сетевых приложений и сервисов (включая Apdex Score и MOS), а также захваченные данные для последующего изучения, например, с целью расследования сетевых инцидентов.

ПО Capture Engine for Omnipeek функционирует как сервис на выделенных Windows-серверах или на сетевых записывающих устройствах Omnipliance компании Savvius.

Аппаратные пробники на базе серверных и компьютерных платформ

К этой категории средств мониторинга относятся сетевые записывающие устройства Omnipliance (специализированные пробники) компании Savvius, а также многофункциональные аппаратные пробники EndaceProbe компании Endace.

Модели Omnipliance T300 и Omnipliance M200 предназначены для использования в сетевых операционных центрах и ЦОДах, а устройство Omnipliance С100 ориентировано на филиалы предприятий и небольшие компании. Кроме того, Savvius выпускает устройство Omnipliance WiFi, предназначенное для записи и анализа трафика беспроводной ЛВС, и переносной анализатор Omnipliance Portable, который выполнен в виде небольшого чемоданчика с 17-дюймовым дисплеем во всю его боковую стенку. Он может быть легко доставлен к любому сетевому узлу или сегменту и задействован для поиска и устранения неполадок в его работе.

Переносной сетевой анализатор Omnipliance Portable

Пробники EndaceProbe компании Endace, реализуемые на базе серверных платформ, могут анализировать передаваемый по сети трафик в реальном масштабе времени и осуществлять ретроспективный анализ записанного на собственные диски трафика.

Каждое устройство EndaceProbe поддерживает централизованное управление с единой консоли, что позволяет создать распределенную инфраструктуру записи сетевого трафика.

Благодаря технологии DAG компании Endace, устройства EndaceProbe могут захватывать весь передаваемый по сетевым линиям высокоскоростной трафик без потерь пакетов, и при этом они стоят дешевле специализированных пробников других фирм, которые разрабатывают ПО для анализа сети.

Пробники EndaceProbe работают с базовым веб-приложением EndaceVision, которое может визуализировать захваченный трафик и в реальном масштабе времени отображать информацию о потреблении полосы пропускания сети, что помогает сетевым инженерам определять изменения в работе сети, чреватые возникновением проблем.

Наряду с EndaceVision каждый пробник поддерживает виртуализированную среду для хостинга приложений Endace Application Dock, которая предназначена для запуска на пробнике дополнительных программных средств других фирм, разработанных самими пользователями приложений и ПО с открытым исходным кодом.

Наличие Endace Application Dock позволяет организациям задействовать на своих пробниках именно те приложения для сетевого мониторинга, которые соответствуют специфическим требованиям этих организаций.

Компания Endace выпускает пробники EndaceProbe моделей 114, 124, 404, 4100TR, а также серии пробников 4000, 4100, 8100 и 9000. Самым высокопроизводительным (скорость записи трафика до 40 Гбит/с) является пробник EndaceProbe серии 8100, оснащенный RAID-массивом SSD, а самым емким (до 192 Тбайт) — пробник EndaceProbe серии 9000.

Читайте также  Как подключиться к видеорегистратору по локальной сети?

Высокопроизводительный пробник EndaceProbe серии 8100

Для контроля 40- и 100-гигабитовых сетевых сегментов с использованием 10-Гбит/с устройств мониторинга компания Endace выпускает высокопроизводительные системы EndaceAccess.

Источник: http://www.treatface.ru/solutions/sistemy-setevogo-monitoringa/analiz-i-monitoring-korporativnoy-seti/

8 лучших программ для анализа сетевого трафика

Мониторинг сетевого трафика в локальной сети

Анализ трафика является процессом, важность которого известна любому ИТ-профессионалу, не зависимо от того, работает ли он в небольшой компании или в крупной корпорации.

Ведь выявление и исправления проблем с сетью — это настоящее искусство, которое напрямую зависит как от инстинкта самого специалиста, так и от глубины и качества оперируемых им данных. И анализатор трафика является именно тем инструментом, который эти данные предоставляет вам.

Выбранное с умом решение для анализа сетевого трафика может не только помочь вам выяснить, как пакеты отправляются, принимаются и насколько сохранно передаются по вашей сети, но и позволит сделать намного-намного больше!

Сейчас на рынке представлено большое количество вариаций программного обеспечения для анализа сетевого трафика. Причем некоторые из них способны вызвать ностальгические воспоминания у специалистов «старой школы»; они используют терминальный шрифт и интерфейс командной строки, и на первый взгляд кажутся сложными в использовании. Другие решения, наоборот, — выделяются простотой установки и ориентированы на аудиторию с визуальным восприятием (они буквально перенасыщены различными графиками). Ценовой диапазон этих решений также весьма существенно отличается — от бесплатных до решений с весьма дорогой корпоративной лицензией.

Для того, чтобы вы в зависимости от своих задач и предпочтений смогли выбрать лучшее решение для анализа сетевого трафика, представляем вам список из наиболее интересных из доступных сейчас на рынке программных продуктов для анализа трафика, а также краткий обзор встроенной в них функциональности для извлечения, обработки и визуального предоставления различной сетевой информации.

Часть этих функций у всех приведенных в этом обзоре решений для анализа сетевого трафика схожая — они позволяют с тем или иным уровнем детализации увидеть отправленные и полученные сетевые пакеты, — но практически все из них имеют некоторые характерные особенности, которые делают их уникальными при использовании в определенных ситуациях или сетевых средах.

В конце концов, к анализу сетевого трафика мы прибегаем тогда, когда у нас появилась сетевая проблема, но мы не можем быстро свести ее к определенной машине, устройству или протоколу, и нам приходится проводить более глубокий поиск. Мы поможем вам выбрать наиболее подходящее для этих целей программное решение для анализа трафика.

SolarWinds Network Bandwidth Analyzer

Данное решение позиционируется производителем как программный пакет из двух продуктов — Network Performance Monitor (базовое решение) и NetFlow Traffic Analyzer (модульное расширение). Как заявляется, они имеют схожие, но все же отличающиеся функциональные возможности для анализа сетевого трафика, дополняющие друг друга при совместном использовании сразу двух продуктов.

Network Performance Monitor, как следует из названия, осуществляет мониторинг производительности сети и станет для вас заманчивым выбором, если вы хотите получить общее представление о том, что происходит в вашей сети.

Покупая это решение, вы платите за возможность контролировать общую работоспособность вашей сети: опираясь на огромное количество статистических данных, таких как скорость и надежность передачи данных и пакетов, в большинстве случаев вы сможете быстро идентифицировать неисправности в работе вашей сети.

А продвинутые интеллектуальные возможности программы по выявлению потенциальных проблем и широкие возможности по визуальному представлению результатов в виде таблиц и графиков с четкими предупреждениями о возможных проблемах, еще больше облегчат эту работу.

Модульное расширение NetFlow Traffic Analyzer больше сконцентрировано на анализе самого трафика.

В то время, как функциональность базового программного решения Network Performance Monitor больше предназначена для получения общего представления о производительности сети, в NetFlow Traffic Analyzer фокус внимания направлен на более детальный анализ процессов, происходящих в сети.

В частности, эта часть программного пакета позволит проанализировать перегрузки или аномальные скачки полосы пропускания и предоставит статистику, отсортированную по пользователям, протоколам или приложениям. Обратите внимание, что данная программа доступна только для среды Windows.

Wireshark

WireShark является относительно новым инструментом в большой семье решений для сетевой диагностики, но за это время он уже успел завоевать себе признание и уважение со стороны ИТ-профессионалов. С анализом трафика WireShark справляется превосходно, прекрасно выполняя для вас свою работу.

Разработчики смогли найти золотую середину между исходными данными и визуальным представлением этих данных, поэтому в WireShark вы не найдете перекосов в ту или иную сторону, которым грешат большинство других решений для анализа сетевого трафика. WireShark прост, совместим и портативен.

Используя WireShark, вы получаете именно то, что ожидаете, и получаете это быстро.

WireShark имеет прекрасный пользовательский интерфейс, множество опций для фильтрации и сортировки, и, что многие из нас смогут оценить по достоинству, анализ трафика WireShark прекрасно работает с любым из трех самых популярных семейств операционных систем — *NIX, Windows и macOS. Добавьте ко всему вышеперечисленному тот факт, что WireShark — программный продукт с открытым исходным кодом и распространяется бесплатно, и вы получите прекрасный инструмент для проведения быстрой диагностики вашей сети.

tcpdump

Анализатор трафика tcpdump выглядит как некий древний инструмент, и, если уж быть до конца откровенными, с точки зрения функциональности работает он также.

Несмотря на то, что со своей работой он справляется и справляется хорошо, причем используя для этого минимум системных ресурсов, насколько это вообще возможно, многим современным специалистам будет сложно разобраться в огромном количестве «сухих» таблиц с данными.

Но бывают в жизни ситуации, когда использование столь обрезанных и неприхотливых к ресурсам решений может быть полезно. В некоторых средах или на еле работающих ПК минимализм может оказаться единственным приемлемым вариантом.

Изначально программное решение tcpdump разработано для среды *NIX, но на данный момент он также работает с несколькими портами Windows. Он обладает всей базовой функциональностью, которую вы ожидаете увидеть в любом анализаторе трафика — захват, запись и т.д., — но требовать чего-то большего от него не стоит.

Kismet

Анализатор трафика Kismet — еще один пример программного обеспечения с открытым исходным кодом, заточенного для решения конкретных задач. Kismet не просто анализирует сетевой трафик, он предоставляет вам гораздо более расширенные функциональные возможности.

К примеру, он способен проводить анализ трафика скрытых сетей и даже беспроводных сетей, которые не транслируют свой идентификатор SSID! Подобный инструмент для анализа трафика может быть чрезвычайно полезен, когда в вашей беспроводной сети есть что-то, вызывающее проблемы, но быстро найти их источник вы не можете.

Kismet поможет вам обнаружить неавторизированную сеть или точку доступа, которая работает, но имеет не совсем правильные настройки.

Многие из нас знают не понаслышке, что задача становится более сложной, когда дело доходит до анализа трафика беспроводных сетей, поэтому наличие под рукой такого специализированного инструмента, как Kismet, не только желательно, но и, зачастую, необходимо. Анализатор трафика Kismet станет прекрасным выбором для вас, если вы постоянно имеете дело с большим количеством беспроводного трафика и беспроводных устройств, и вы нуждаетесь в хорошем инструменте для анализа трафика беспроводной сети. Kismet доступен для сред * NIX, Windows под Cygwin и macOS.

EtherApe

По своим функциональным возможностям EtherApe во многом приближается к WireShark, и он также является программным обеспечением с открытым исходным кодом и распространяется бесплатно. Однако то, чем он действительно выделяется на фоне других решений — это ориентация на графику.

И если вы, к примеру, результаты анализа трафика WireShark просматриваете в классическом цифровом виде, то сетевой трафик EtherApe отображается с помощью продвинутого графического интерфейса, где каждая вершина графа представляет собой отдельный хост, размеры вершин и ребер указывают на размер сетевого трафика, а цветом отмечаются различные протоколы.

Для тех людей, кто отдает предпочтение визуальному восприятию статистической информации, анализатор EtherApe может стать лучшим выбором. Доступен для сред *NIX и macOS.

Cain and Abel

У данного программного обеспечения с весьма любопытным названием возможность анализа трафика является скорее вспомогательной функцией, чем основной. Если ваши задачи выходят далеко за пределы простого анализа трафика, то вам стоит обратить внимание на этот инструмент. С его помощью вы можете восстанавливать пароли для ОС Windows, производить атаки для получения потерянных учетных данных, изучать данные VoIP в сети, анализировать маршрутизацию пакетов и многое другое. Это действительно мощный инструментарий для системного администратора с широкими полномочиями. Работает только в среде Windows.

NetworkMiner

Решение NetworkMiner — еще одно программное решение, чья функциональность выходит за рамки обычного анализа трафика. В то время как другие анализаторы трафика сосредотачивают свое внимание на отправке и получении пакетов, NetworkMiner следит за теми, кто непосредственно осуществляет эту отправку и получение. Этот инструмент больше подходит для выявления проблемных компьютеров или пользователей, чем для проведения общей диагностики или мониторинга сети как таковой. NetworkMiner разработан для ОС Windows.

KisMAC

KisMAC — название данного программного продукта говорит само за себя — это Kismet для macOS.

В наши дни Kismet уже имеет порт для операционной среды macOS, поэтому существование KisMAC может показаться излишним, но тут стоит обратить внимание на тот факт, что решение KisMAC фактически имеет свою собственную кодовую базу и не является непосредственно производным от анализатора трафика Kismet.

Особо следует отметить, что KisMAC предлагает некоторые возможности, такие как нанесение на карту местоположения и атака деаутентификации на macOS, которые Kismet сам по себе не предоставляет. Эти уникальные особенности в определенных ситуациях могут перевесить чашу весов в пользу именно этого программного решения.